ME News na mensahe, ika-5 ng Hunyo (UTC+8), ang tagapagtatag ng Zcash na si Zooko Wilcox ay nag-post ng paglalahad na mayroong seriyosong butas sa pagpapalit sa Zcash Orchard pool na maaaring gamitin upang lumikha ng walang hanggang dami ng fake ZEC na hindi makikita sa loob ng Orchard pool. Ang butas ay natuklasan ni Taylor Hornby, isang security researcher, noong ika-29 ng Mayo gamit ang Anthropic Opus 4.8 model, at naulat sa Zcash Open Development Lab (ZODL). Sinamahan ng ZODL ang pagsasagawa ng emergency response sa buong ecosystem ng Zcash, at natapos na ang mga pagpapabuti noong ika-2 ng Hunyo.
Isinulat ni Taylor Hornby ang isang kompletong attack program sa lokal na regtest environment gamit ang Opus 4.8, na makapagpapagawa ng walang hanggang dami ng fake ZEC na hindi makikita sa pagsubok. Kung gagamitin ang tool na ito sa Zcash mainnet, maaari itong magpapagawa ng walang hanggang dami ng fake ZEC na hindi makikita sa mga Zcash wallet sa mainnet. Ang vulnerability ay may kinalaman sa isang hindi sapat na constraint sa Orchard circuit, kung saan ang isang attacker ay maaaring mag-input ng anumang false input sa elliptic curve multiplication at pa rin ay makakapagpass ng verification ng multiplication. Ang vulnerability ay umiiral mula nang ma-activate ang Orchard noong Mayo 2022 hanggang sa emergency patch ay ipinadala noong Hunyo 1, 2026.
Dahil sa privacy attributes ng Orchard at ang kalikasan ng vulnerability, hindi posible ngayon na matukoy kung ginamit ang vulnerability bago ito i-fix gamit ang cryptography lamang. Gayunpaman, naniniwala ang Shielded Labs na maliit ang posibilidad na ginamit ito bago, at kasalukuyang tinataya nila ang pag-deploy ng isang bagong privacy pool sa pamamagitan ng network upgrade, ang pag-aaral ng lahat ng mga token sa Orchard pool, upang payagan ang sinumang mag-verify ng integridad ng suplay ng Zcash at patunayan na walang fake ZEC sa Orchard pool.
Dahil sa vulnerability ng Orchard Pool, bumaba ang ZEC ng higit sa 31% sa loob ng 24 na oras, kasalukuyang nasa $410.50.(来源:X平台)